Mi empresa desarrolla y aloja un sistema de comercio electrónico y CMS personalizado. Proporcionamos esto solo bajo un modelo alojado de software como servicio. Tenemos el control total del entorno de alojamiento y nuestros clientes no tienen control sobre el código fuente. No pueden desplegar en su propio hardware; Ellos tienen que arrendar el software a nosotros.
Un proveedor me pregunta si cumplimos con las PA-DSS. De acuerdo con el Requisitos de evaluación de seguridad y requisitos de las PA-DSS v2.0 :
PA-DSS NO se aplica al pago Aplicaciones ofrecidas por solicitud o proveedores de servicios solo como un servicio (a menos que tales aplicaciones sean también vendido, licenciado, o distribuido a terceros) porque:
El aplicación es un servicio ofrecido a clientes (típicamente comerciantes) y los clientes no tienen la capacidad para gestionar, instalar o controlar el aplicación o su entorno;
La aplicación está cubierta por el propia aplicación o proveedor de servicios Revisión de PCI DSS (esta cobertura debe ser confirmado por el cliente); y / o
La aplicación no se vende, Distribuido, o licenciado a terceros. fiestas.
Estoy tratando de entender si caemos bajo esos criterios. Me parece que lo haríamos, porque tenemos el control total sobre el software; Somos el proveedor de servicios de aplicaciones y el software se proporciona solo como un servicio. Nuestros clientes no tienen la capacidad de instalar o administrar el entorno de las aplicaciones, solo nuestro personal lo tiene. Por supuesto, nuestros clientes pueden utilizar la aplicación para crear productos y ver sus pedidos, sin embargo, nosotros hacemos toda la instalación y el mantenimiento del servidor.
Somos totalmente compatibles con PCI.
¿Se aplica PA-DSS a una aplicación de comercio electrónico alojada personalizada como esta, cuando el proveedor administra el código y el entorno?